Un cheval de Troie découvert sous OS X, Réactions à la news du 31-10-2007

[Lionel]

Source : Intego

Intego a lancé une alerte au sujet d'un cheval de Troie. Il a été découvert sur certains sites pornographiques.
Basé sur la crédulité de certains, il va proposer une mise à jour permettant d'avoir accès à l'intégralité du site. Un fichier sous forme de .dmg sera alors téléchargé, et le mot de passe administrateur demandé.
En fait, le logiciel plutôt que d'installer quoique ce soit, va changer le DNS de la machine.
Une fois le DNS changé, il sera possible aux pirates d'orienter les victimes vers de faux sites permettant de réaliser des phishings aussi parfaits que possible. Ceci peut toucher des comptes Paypal, Ebay ou encore associés à des banques.
Il installe également une routine vérifiant régulièrement que le DNS n'a pas été entre temps modifié et veille à remettre le malicieux.

Pour s'en prémunir, il suffit de se rappeler d'une règle élémentaire. Ne téléchargez pas n'importe quoi, et ne rentrez votre mot de passe admin que lorsque vous êtes certain que c'est à bon escient.
Il y a hélas des chances que ce type d'attaque n'aille en augmentant et se fasse de plus en plus pernicieuse avec le temps, les parts de marché d'Apple augmentant.




Je sais que c'est un sujet toujours ultra sensible dans la communauté Mac. Pour une fois, traitez le froidement et sans excitation. Merci d'avance.

[Faros]

On ne pourrait pas avoir la (ou les) adresse(s) IP de ce(s) serveur(s) de noms (DNS) pirate(s) ?
S.V.P.

Histoire de détecter / filtrer / bloquer / … cette indésirable.

(Dire qu'en connaissant l'adresse IP de ce DNS, les jours de ce « cheval de Troie » sont comptés. En plus d'être difficile à installer…)

[LeNulPourLesMacs]

On ne pourrait pas avoir la (ou les) adresse(s) IP de ce(s) serveur(s) de noms (DNS) pirate(s) ?
S.V.P.

Histoire de détecter / filtrer / bloquer / … cette indésirable.

(Dire qu'en connaissant l'adresse IP de ce DNS, les jours de ce « cheval de Troie » sont comptés. En plus d'être difficile à installer…)

Pourquoi tu peux pas faire une recherche de tous les sites consacrés à Britney ?

Voir la recherche de britney spears nude?

C'est trop dur à ton avis ?
C'est vrai que sur Mac on ne risque rien. C'est connu. Vive le Mac.

Ce qui est dingue c'est que personne ici n'a jamais envisagé que ce genre d'attaque est organisé par la mafia et peut être présent sur autre chose qu'un site porno.

Les gens qui sont capables de monter des serveurs avec une grosse organisation comme dans ce cas, c'est rare. En recherchant depuis une heure j'ai trouvé 23 sites (et pas que du X) avec ces images disques DNSChanger.

23 sites c'est énorme.

Donc méfiance sur ce que vous demande Mac OS X : l'image disque est téléchargée AUTOMATIQUEMENT et le programme d'installation Apple est lancé tout aussi AUTOMATIQUEMENT.

La seule chose non automatique c'est quand vous devez cliquer sur INSTALLER et qu'on vous demande votre mot de passe.

Les faux serveurs DNS ne sont jamais identiques d'une image disque à l'autre et actuellement j'ai une collection de 46 serveurs DNS impliqués.

De la grosse organisation mafieuse.

Intego a eu de la chance de tomber sur ces sites hier : avec ContentBarrier je me demande s'ils ont une équipe qui inspecte tous ces sites tous les jours. En tout cas ils ont l'air efficace !